Google ha dado un paso contundente en la seguridad de Android tras anunciar que, a partir del próximo año, bloqueará la instalación de aplicaciones provenientes de desarrolladores no verificados. Esta política no solo afecta a las apps que se distribuyen en la Play Store, sino también a las que se instalan de manera externa, generando inquietud entre los entusiastas y defensores de la privacidad.
Aunque surgieron dudas sobre el futuro de la instalación de apps externas, Google respondió asegurando que esta opción continuará disponible, pero bajo un nuevo esquema. Ahora, el sistema verificará directamente si el desarrollador está registrado, proceso que, en determinadas situaciones, requerirá conexión a internet al momento de instalar la app.
El anuncio inicial en agosto tomó por sorpresa a la comunidad que sigue de cerca los avances de Android. Poco después, Google explicó que las nuevas reglas se implementarán a través del Android Developer Verifier, un servicio instalado en los dispositivos que se encargará de validar la identidad del desarrollador, detectar problemas en la verificación y decidir si permite la instalación de la app.
Para llevar a cabo la verificación, el servicio comprobará que el paquete y la clave de firma se hayan presentado correctamente ante Google. La imposibilidad de mantener una base de datos local con todas las combinaciones obliga a que, en ciertos casos, el móvil deba conectarse a la red. Google planea que el sistema almacene una lista de las apps más populares ya validadas, lo que permitirá instalarlas sin conexión. Además, los desarrolladores podrán generar un “pre-auth token” cuando distribuyan sus aplicaciones mediante tiendas, permitiendo la verificación incluso sin establecer comunicación directa con los servidores de Google.
La actualización comenzará oficialmente en el segundo trimestre con Android 16 QPR2. Sin embargo, las estrictas reglas de verificación no se aplicarán de inmediato, ya que Google está en fase de pruebas y recopilando datos. Los cambios también llegarán a versiones anteriores de Android a través de Play Protect, aunque se esperan pequeñas diferencias por el método empleado.
Respecto a los desarrolladores aficionados o estudiantes, podrán obtener una cuenta gratuita con menos requisitos y exención de la tarifa de registro. No obstante, existirán límites estrictos: quienes distribuyan sus apps bajo esta modalidad deberán autorizar manualmente cada dispositivo donde se quiera instalar el software, lo que restringe considerablemente su alcance. Si ese creador decide después ampliar su audiencia, podrá cambiar de tipo de cuenta.
La medida pretende cerrar puertas a los actores maliciosos. Google impedirá que cualquier persona reclame la autoría de una aplicación sin demostrar que puede firmarla con la clave correspondiente, sin necesidad de entregar las claves privadas. En caso de detectarse software malicioso, la cuenta del desarrollador quedará restringida y todas sus aplicaciones serán bloqueadas durante un periodo, incluso si el responsable real del malware es otro. Así, la empresa responsabiliza a cada desarrollador de lo que se publique bajo su perfil.
Para sortear intentos de fraude, Google implementa métodos confidenciales capaces de detectar falsificaciones, incluso aquellas generadas con herramientas de inteligencia artificial.
En cuanto a la privacidad y las tiendas alternativas como F-Droid, Google admite razones legítimas para mantener la identidad de los desarrolladores en privado y asegura que no hará pública esta información. No obstante, no garantiza que no la comparta con gobiernos. La compañía prioriza la seguridad sobre la privacidad anónima, y asume que el riesgo justifica el cambio de políticas.
Un detalle relevante para las tiendas independientes es que, en raras ocasiones, Google permitirá la existencia de apps con nombres de paquete duplicados si hay coincidencia con otras fuentes. Generalmente, la app con más instalaciones será la reconocida oficialmente, lo que podría forzar a los desarrolladores originales a modificar sus nombres de paquete, un golpe para comunidades como F-Droid cuya filosofía se ve desafiada por esta disposición.
Por último, en entornos empresariales, Google hará excepciones permitiendo la instalación de apps no verificadas si se gestionan mediante herramientas corporativas y bajo la supervisión de un administrador de TI. Sin embargo, quienes distribuyan aplicaciones a dispositivos sin conexión deberán buscar sus propias soluciones para realizar la verificación necesaria.
La industria de Android sigue a la expectativa ante las incógnitas sobre mecanismos alternativos y el alcance real de estas restricciones. El margen para futuras modificaciones persiste, dado que aún falta tiempo para la aplicación definitiva de las nuevas reglas.
